www.wikidata.de-de.nina.az

Multi Faktor Authentisierung Die Multi Faktor Authentifizierung MFA auch Multifaktor Authentisierung ist eine Verallgeme

Multi-Faktor-Authentisierung

Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.

Faktoren Bearbeiten

Möglich sind mehrere Faktoren. Verbreitet sind zurzeit

  • „knowledge“, also „Wissen“, etwas, das der Nutzer weiß (beispielsweise ein Passwort),
  • „ownership“, also „Besitz“, etwas, das nur der Nutzer besitzt (beispielsweise ein Mobiltelefon),
  • „inherence“, also „Inhärenz“, etwas, das der Nutzer ist (beispielsweise ein Fingerabdruck),
  • „location“, also „Ort“, ein Ort, an dem sich der Nutzer befindet.

Als Beispiel für mehrere Faktoren kann das Geld-Abheben an einem Geldautomaten betrachtet werden: Der Bankkunde muss seine Bankkarte besitzen („ownership“) sowie seine PIN kennen („knowledge“).

Wissen Bearbeiten

Wissen ist der meist genutzte Faktor zur Authentisierung. Beispiele sind Passwörter, aber auch ein Geburtsdatum und andere Sicherheitsfragen.

Besitz Bearbeiten

Authentisierung durch Besitz kann physisch durch SmartCards erfolgen oder auch digital durch kryptographische Schlüssel.

Inhärenz Bearbeiten

Zu Inhärenz zählen insbesondere Biometrische Authentisierungsmethoden wie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung oder Iris-Erkennung.

Angriffe Bearbeiten

Die häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten. Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling-System-7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln. Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.

Gesetzgebung Bearbeiten

Europäische Union Bearbeiten

Seit dem 1. Januar 2021 sind europäische Kreditinstitute durch die Zahlungsdiensterichtlinie PSD2 dazu verpflichtet, dem Kunden eine SKA (Starke Kundenauthentifizierung) anzubieten. Die bedeutet, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen.

Patente Bearbeiten

Der Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter Bestand, jedoch hält AT&T auch dort ein älteres Patent.

Verwandte Artikel Bearbeiten

Einzelnachweise Bearbeiten

  1. (Memento vom 12. September 2015 im Internet Archive), BSI, Stand: 14. EL Stand 2014.
  2. Andrea Saracino: Emerging Technologies for Authorization and Authentication. Springer International Publishing, Luxembourg City 2019, ISBN 978-3-03039749-4, S. 140, doi:10.1007/978-3-030-39749-4.
  3. Sharma Seema: Location Based Authentication. Hrsg.: University of New Orleans. 2005 (uno.edu).
  4. Henk C. A. van Tilborg: Encyclopedia of Cryptography and Security. Hrsg.: Springer Science & Business Media. 2011, ISBN 978-1-4419-5905-8, S. 1305 (springer.com).
  5. Norbert Pohlmann: Identifikation und Authentifikation. 2019, S. 87 (norbert-pohlmann.com [PDF]).
  6. Philipp Anz: Angriff auf SMS-basierte 2-Faktor-Authentifizierung. In: Inside IT. 17. Juni 2019, abgerufen am 20. Januar 2021.
  7. Bernd Kling: 31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone. In: ZDNet. ZDNet, 29. Dezember 2014, abgerufen am 20. Januar 2021.
  8. Anja Schmoll-Trautmann: Hacker räumen Bankkonten von O2-Kunden leer. In: ZDNet. ZDNet, 3. Mai 2017, abgerufen am 20. Januar 2021.
  9. In: Deutsche Bundesbank. Deutsche Bundesbank, archiviert vom Original am 5. Januar 2021; abgerufen am 20. Januar 2021.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bundesbank.de
  10. Patent US6078908: Method for authorizing in data transmission systems. Erfinder: Schmitz, Kim.
  11. Jon Brodkin: (Nicht mehr online verfügbar.) In: Ars Technica. 23. Mai 2013, archiviert vom Original am 9. Juli 2019; abgerufen am 20. Januar 2021.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Die Multi Faktor Authentifizierung MFA auch Multifaktor Authentisierung ist eine Verallgemeinerung der Zwei Faktor Authentisierung bei der die Zugangsberechtigung durch mehrere unabhangige Merkmale Faktoren uberpruft wird Das Bundesamt fur Sicherheit in der Informationstechnik hat in seinen IT Grundschutzkatalogen auch Empfehlungen zur Multi Faktor Authentisierung fur Cloudanwendungen herausgegeben 1 Inhaltsverzeichnis 1 Faktoren 1 1 Wissen 1 2 Besitz 1 3 Inharenz 2 Angriffe 3 Gesetzgebung 3 1 Europaische Union 4 Patente 5 Verwandte Artikel 6 EinzelnachweiseFaktoren BearbeitenMoglich sind mehrere Faktoren Verbreitet sind zurzeit knowledge also Wissen etwas das der Nutzer weiss beispielsweise ein Passwort ownership also Besitz etwas das nur der Nutzer besitzt beispielsweise ein Mobiltelefon inherence also Inharenz etwas das der Nutzer ist beispielsweise ein Fingerabdruck 2 location also Ort ein Ort an dem sich der Nutzer befindet 3 Als Beispiel fur mehrere Faktoren kann das Geld Abheben an einem Geldautomaten betrachtet werden Der Bankkunde muss seine Bankkarte besitzen ownership sowie seine PIN kennen knowledge Wissen Bearbeiten Wissen ist der meist genutzte Faktor zur Authentisierung Beispiele sind Passworter aber auch ein Geburtsdatum und andere Sicherheitsfragen Besitz Bearbeiten Authentisierung durch Besitz kann physisch durch SmartCards erfolgen oder auch digital durch kryptographische Schlussel 4 Inharenz Bearbeiten Zu Inharenz zahlen insbesondere Biometrische Authentisierungsmethoden wie der Fingerabdruck Gesichtserkennung Sprecherauthentifizierung oder Iris Erkennung 5 Angriffe BearbeitenDie haufige Authentisierung durch SMS kann uber verschiedene Wege ausgehebelt werden So konnen unter Android gefalschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten 6 Zudem konnen Angriffe direkt auf das im Mobilfunknetz verwendete Signalling System 7 Protokoll SS7 abzielen Angreifer konnen SMS die zur Authentisierung bestimmt sind auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusatzlichen Sicherheitsfaktor aushebeln 7 Auf diese Weise wurden 2017 bei einem gross angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen 8 Gesetzgebung BearbeitenEuropaische Union Bearbeiten Seit dem 1 Januar 2021 sind europaische Kreditinstitute durch die Zahlungsdiensterichtlinie PSD2 dazu verpflichtet dem Kunden eine SKA Starke Kundenauthentifizierung anzubieten Die bedeutet dass Transaktionen durch zwei unabhangige Merkmale aus den Kategorien Wissen Besitz und Inharenz bestatigt werden mussen 9 Patente BearbeitenDer Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 offentlichkeitswirksam die Zwei Faktor Authentisierung erfunden und im Jahr 2000 zum Patent 10 angemeldet zu haben Ebenso hielt er ein europaisches Patent Die Europaische Union entzog ihm jedoch im Jahr 2011 das Patent unter anderem weil AT amp T ebenfalls ein Patent auf die Technologie angemeldet hatte jedoch bereits 1995 Dotcoms Patent in den USA hat zwar weiter Bestand jedoch halt AT amp T auch dort ein alteres Patent 11 Verwandte Artikel BearbeitenZwei Faktor AuthentisierungEinzelnachweise Bearbeiten M 4 441 Multifaktor Authentisierung fur den Cloud Benutzerzugriff Memento vom 12 September 2015 im Internet Archive BSI Stand 14 EL Stand 2014 Andrea Saracino Emerging Technologies for Authorization and Authentication Springer International Publishing Luxembourg City 2019 ISBN 978 3 03039749 4 S 140 doi 10 1007 978 3 030 39749 4 Sharma Seema Location Based Authentication Hrsg University of New Orleans 2005 uno edu Henk C A van Tilborg Encyclopedia of Cryptography and Security Hrsg Springer Science amp Business Media 2011 ISBN 978 1 4419 5905 8 S 1305 springer com Norbert Pohlmann Identifikation und Authentifikation 2019 S 87 norbert pohlmann com PDF Philipp Anz Angriff auf SMS basierte 2 Faktor Authentifizierung In Inside IT 17 Juni 2019 abgerufen am 20 Januar 2021 Bernd Kling 31C3 SS7 Protokolle ermoglichen Angriffe auf Mobiltelefone In ZDNet ZDNet 29 Dezember 2014 abgerufen am 20 Januar 2021 Anja Schmoll Trautmann Hacker raumen Bankkonten von O2 Kunden leer In ZDNet ZDNet 3 Mai 2017 abgerufen am 20 Januar 2021 PSD2 In Deutsche Bundesbank Deutsche Bundesbank archiviert vom Original am 5 Januar 2021 abgerufen am 20 Januar 2021 nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www bundesbank de Patent US6078908 Method for authorizing in data transmission systems Erfinder Schmitz Kim Jon Brodkin Kim Dotcom claims he invented two factor authentication but he wasn t first Nicht mehr online verfugbar In Ars Technica 23 Mai 2013 archiviert vom Original am 9 Juli 2019 abgerufen am 20 Januar 2021 Abgerufen von https de wikipedia org w index php title Multi Faktor Authentisierung amp oldid 235856839